Safari 15 漏洞可能会泄露您最近的浏览活动和个人标识符

根据浏览器指纹识别和欺诈检测服务（通过9to5Mac ） FingerprintJS 的调查结果， Safari 15中的一个错误可能会泄露您的浏览活动，还可能会泄露您的 Google 帐户所附的一些个人信息。该漏洞源于 Apple 实施IndexedDB的问题，IndexedDB是一种在浏览器上存储数据的应用程序编程接口 (API)。

正如 FingerprintJS 所解释的，IndexedDB 遵守同源策略，该策略限制一个来源与从其他来源收集的数据进行交互——本质上，只有生成数据的网站才能访问它。例如，如果您在一个选项卡中打开您的电子邮件帐户，然后在另一个选项卡中打开恶意网页，则同源策略会阻止恶意页面查看和干预您的电子邮件。

FingerprintJS 发现苹果在 Safari 15 中应用 IndexedDB API 实际上违反了同源策略。当网站与 Safari 中的数据库交互时，FingerprintJS 表示“在同一浏览器会话中的所有其他活动框架、选项卡和窗口中创建了一个具有相同名称的新（空）数据库。”

这意味着其他网站可以看到在其他网站上创建的其他数据库的名称，其中可能包含特定于您身份的详细信息。FingerprintJS 指出使用您的 Google 帐户的网站，例如 YouTube、Google 日历和 Google Keep，都会生成数据库，其名称中包含您唯一的 Google 用户 ID。您的 Google 用户 ID 允许 Google 访问您的公开信息，例如您的个人资料照片，Safari 漏洞可能会将这些信息暴露给其他网站。

FingerprintJS 创建了一个概念验证演示，如果您在 Mac、iPhone 或 iPad 上安装 Safari 15 及更高版本，您可以试用。该演示使用浏览器的 IndexedDB 漏洞来识别您打开（或最近打开）的网站，并展示利用该漏洞的网站如何从您的 Google 用户 ID 中抓取信息。它目前只检测到 30 个受该漏洞影响的流行网站，例如 Instagram、Netflix、Twitter、Xbox，但它可能影响的可能更多。

不幸的是，你无法解决这个问题，因为 FingerprintJS 说这个错误也会影响 Safari 上的隐私浏览模式。您可以在 macOS 上使用其他浏览器，但Apple 对 iOS 的第三方浏览器引擎禁令意味着所有浏览器都会受到影响。FingerprintJS 在 11 月 28 日向 WebKit Bug Tracker 报告了泄漏，但 Safari 还没有更新。The Verge联系了苹果公司，要求发表评论，但没有立即收到回复。